Configurar la delegación Kerberos limitada para XenApp 6.5

Nota:

XenApp 6.5 ha alcanzado el ciclo Fin de vida (EOL) y ahora lo cubre el programa de soporte extendido Extended Support Program.

Utilice la tarea Configurar parámetros del almacén > Delegación de Kerberos para especificar si StoreFront emplea una delegación de Kerberos limitada en un único dominio para autenticarse en los Delivery Controllers.

Importante: En implementaciones con varios servidores, use solo un servidor a la vez para hacer cambios en la configuración del grupo de servidores. Compruebe que la consola de administración de Citrix StoreFront no se está ejecutando en ninguno de los demás servidores de la implementación. Una vez completados, propague los cambios de configuración al grupo de servidores de modo que los demás servidores de la implementación se actualicen.

  1. En la pantalla Inicio o Aplicaciones de Windows, busque el icono de Citrix StoreFront y haga clic en él.
  2. Seleccione el nodo Almacenes en el panel izquierdo de la consola de administración de Citrix StoreFront y, en el panel de resultados, seleccione un almacén. En el panel Acciones, haga clic en Configurar parámetros del almacén y, a continuación, haga clic en Delegación Kerberos.
  3. Habilite o inhabilite la delegación de Kerberos para autenticarse en los Delivery Controllers.

Configurar el servidor de StoreFront para la delegación

Siga este procedimiento cuando StoreFront no esté instalado en la misma máquina que Citrix Virtual Apps.

  1. En el controlador de dominio, abra el complemento Usuarios y equipos de Active Directory en la consola MMC.
  2. En el menú Ver, haga clic en Características avanzadas.
  3. En el panel izquierdo, haga clic en el nodo Equipos bajo el nombre de dominio y seleccione el servidor de StoreFront.
  4. En el panel Acciones, haga clic en Propiedades.
  5. En la ficha Delegación, haga clic en Confiar en este equipo para la delegación solo a los servicios especificados y Usar cualquier protocolo de autenticación y, a continuación, haga clic en Agregar.
  6. En el cuadro de diálogo Agregar servicios, haga clic en Usuarios o equipos.
  7. En el cuadro de diálogo Seleccionar usuarios o equipos, escriba el nombre del servidor que ejecuta XML Service de Citrix Virtual Apps and Desktops en el cuadro Escriba los nombres de objeto que quiere seleccionar y, a continuación, haga clic en Aceptar.
  8. Seleccione el tipo de servicio HTTP en la lista y, a continuación, haga clic en Aceptar.
  9. Aplique los cambios y cierre el cuadro de diálogo.

Configurar el servidor Citrix Virtual Apps para la delegación

Configure la delegación de confianza de Active Directory para cada servidor Citrix Virtual Apps.

  1. En el controlador de dominio, abra el complemento Usuarios y equipos de Active Directory en la consola MMC.
  2. En el panel izquierdo, haga clic en el nodo Equipos debajo del nombre de dominio y seleccione el servidor que ejecuta XML Service de Citrix Virtual Apps and Desktops al que StoreFront está configurado para conectarse.
  3. En el panel Acciones, haga clic en Propiedades.
  4. En la ficha Delegación, haga clic en Confiar en este equipo para la delegación solo a los servicios especificados y Usar cualquier protocolo de autenticación y, a continuación, haga clic en Agregar.
  5. En el cuadro de diálogo Agregar servicios, haga clic en Usuarios o equipos.
  6. En el cuadro de diálogo Seleccionar usuarios o equipos, escriba el nombre del servidor que ejecuta XML Service de Citrix Virtual Apps and Desktops en el cuadro Escriba los nombres de objeto que quiere seleccionar y, a continuación, haga clic en Aceptar.
  7. Seleccione el tipo de servicio HOST en la lista y, a continuación, haga clic en Agregar.
  8. En el cuadro de diálogo Seleccionar usuarios o equipos, escriba el nombre del controlador de dominio en el cuadro Escriba los nombres de objeto que desea seleccionar y, a continuación, haga clic en Aceptar.
  9. Seleccione los tipos de servicio cifs e ldap de la lista y haga clic en Aceptar. Nota: Si aparecen dos opciones para el servicio ldap, seleccione la que coincida con el nombre de dominio completo (FQDN) del controlador de dominio.
  10. Aplique los cambios y cierre el cuadro de diálogo.

Consideraciones importantes

Cuando deba decidir si quiere utilizar la delegación Kerberos limitada, tenga en cuenta la siguiente información.

  • Notas importantes:
    • No necesita ssonsvr.exe a menos que realice la autenticación PassThrough (o la autenticación PassThrough con tarjeta inteligente con PIN) sin la delegación Kerberos limitada.
  • Autenticación PassThrough de dominio para StoreFront y Citrix Receiver para Web:
    • No necesita ssonsvr.exe en el cliente.
    • Puede elegir el nombre de usuario local y la contraseña en la plantilla icaclient.adm de Citrix que quiera (controla la función ssonsvr.exe).
    • El parámetro Kerberos de la plantilla icaclient.adm es obligatorio.
    • Agregue el nombre de dominio completo (FQDN) de StoreFront a la lista de sitios de confianza de Internet Explorer. Marque la casilla Usar nombre de usuario local en la configuración de seguridad de Internet Explorer para la zona de confianza.
    • El cliente debe estar en un dominio.
    • Habilite el método de autenticación PassThrough de dominio en el servidor de StoreFront y habilítelo también para Citrix Receiver para Web.
  • StoreFront, Citrix Receiver para Web y autenticación con tarjeta inteligente con solicitud de PIN:
    • No necesita ssonsvr.exe en el cliente.
    • La autenticación con tarjeta inteligente ya se ha configurado.
    • Puede elegir el nombre de usuario local y la contraseña en la plantilla icaclient.adm de Citrix que quiera (controla la función ssonsvr.exe).
    • El parámetro Kerberos de la plantilla icaclient.adm es obligatorio.
    • Habilite el método de autenticación con tarjeta inteligente en el servidor de StoreFront y habilítelo para Citrix Receiver para Web.
    • Para garantizar la elección de la autenticación con tarjeta inteligente, no marque la casilla Usar nombre de usuario local en la configuración de seguridad de Internet Explorer para la zona de sitios de StoreFront.
    • El cliente debe estar en un dominio.
  • Citrix Gateway, StoreFront, Citrix Receiver para Web y autenticación con tarjeta inteligente con solicitud de PIN:
    • No necesita ssonsvr.exe en el cliente.
    • La autenticación con tarjeta inteligente ya se ha configurado.
    • Puede elegir el nombre de usuario local y la contraseña en la plantilla icaclient.adm de Citrix que quiera (controla la función ssonsvr.exe).
    • El parámetro Kerberos de la plantilla icaclient.adm es obligatorio.
    • Habilite el método de autenticación PassThrough desde Citrix Gateway en el servidor de StoreFront y habilítelo para Citrix Receiver para Web.
    • Para garantizar la elección de la autenticación con tarjeta inteligente, no marque la casilla Usar nombre de usuario local en la configuración de seguridad de Internet Explorer para la zona de sitios de StoreFront.
    • El cliente debe estar en un dominio.
    • Configure Citrix Gateway para la autenticación con tarjeta inteligente y configure un servidor virtual adicional para que se inicie mediante el enrutamiento HDX de StoreFront para dirigir el tráfico ICA a través del servidor virtual no autenticado de Citrix Gateway.
  • Citrix Receiver para Windows o la aplicación Citrix Workspace para Windows (AuthManager), autenticación con tarjeta inteligente con solicitud de PIN y StoreFront:
    • No necesita ssonsvr.exe en el cliente.
    • Puede elegir el nombre de usuario local y la contraseña en la plantilla icaclient.adm de Citrix que quiera (controla la función ssonsvr.exe).
    • El parámetro Kerberos de la plantilla icaclient.adm es obligatorio.
    • El cliente debe estar en un dominio.
    • Habilite el método de autenticación con tarjeta inteligente en el servidor de StoreFront.
  • Citrix Receiver para Windows o la aplicación Citrix Workspace para Windows (AuthManager), Kerberos y StoreFront:
    • No necesita ssonsvr.exe en el cliente.
    • Puede elegir el nombre de usuario local y la contraseña en la plantilla icaclient.adm de Citrix que quiera (controla la función ssonsvr.exe).
    • El parámetro Kerberos de la plantilla icaclient.adm es obligatorio.
    • Marque la casilla Usar nombre de usuario local en la configuración de seguridad de Internet Explorer para la zona de confianza.
    • El cliente debe estar en un dominio.
    • Habilite el método de autenticación PassThrough de dominio en el servidor de StoreFront.
    • Compruebe que se ha definido esta clave de Registro:

      Precaución:

      Si modifica el Registro de forma incorrecta, pueden producirse problemas graves, que pueden hacer que sea necesario instalar nuevamente el sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse. Si utiliza el Editor del Registro, será bajo su propia responsabilidad. Haga una copia de seguridad del Registro antes de modificarlo.

      Para máquinas de 32 bits: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManagerProtocols\integratedwindows Nombre: SSONCheckEnabled Tipo: REG_SZ Valor: true o false

      Para máquinas de 64 bits: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\AuthManagerProtocols\integratedwindows Nombre: SSONCheckEnabled Tipo: REG_SZ Valor: true o false